(文章来自电脑报2007年第47期F版)

　　病人：(电脑报2007年第47期)最近我的Windows XP老是不断的重新启动，为什么会这样？我在使用网银，是不是跟这个有关？

　　医生：最近出现了一个非常具有破坏性的病毒BankJp.a.221184。该病毒可以查找系统中的“个人银行专业版”的窗口，通过使用驱动进行键盘记录，并且从系统内中存读取账号密码，威胁用户财产安全并盗取其中的网银账号密码，因此给通过网络银行进行网络交易的用户带来很大的威胁。另外该病毒还会替换大量系统文件，如Userinit.exe等，从而会引起进入系统时反复重启。

系统因Userinit.Exe而反复重启

　　病人：原来是网银病毒在作祟，它是怎么盗取我网银信息的？

　　医生：Userinit.exe是Windows操作系统里面的一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。病毒替换它以后，就会出现反复重启的情况，这样就可以在用户重新登录时截取账户和密码。

　　要想通过Userinit.Exe对系统进行反复的重启，病毒可以同时使用两种方法。一种方法是将Userinit.Exe映射到一个莫须有的系统文件里面。另外一种方法是利用自身替换了Userinit.Exe文件。

消灭网银病毒

　　病人：看来这个病毒还是非常棘手的，那么我们应该如何清除这个网银病毒呢？

　　医生：清理这个网银病毒需要特殊的工具，但是好在清除的过程很少比较简单，具体清除步骤如下。

　　第一步：由于该网银木马破坏了Windows系统中的重要文件Userinit.exe，因此用户常常无法正常的登录到系统中进行病毒查杀，所以只能通过WINPE盘来进行病毒的查杀以及系统恢复。

　　首先使用光驱启动来引导WINPE光盘，在系统的Windows目录里面找到mshelp.Dll和mspw.Dll病毒文件后删除（图1）。再分别搜索notepad.exe、calc.exe、userinit.exe这三个文件，然后将它们全部进行删除，因为它们都已经被病毒文件所替换。

删除mshelp.Dll和mspw.Dll

　　第二步：现在找到WINPE光盘中自带的注册表编辑工具，然后定位到如下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，在里面找到userinit.exe项并将其删除（图2）。从截图我们可以清楚地看到病毒将userinit.Exe镜像劫持到一个不存在的文件上面从而导致Windows XP系统反复注销。

删除userinit.exe项

　　第三步：接下来再定位到注册表项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下，找到里面的Userinit键值，将其数据修改为系统默认的值C:\WINDOWS\system32\UserInit.Exe（图3）。然后再定位到注册表项目，对该木马的启动服务进行删除，即HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power。

修改注册表默认键值

　　第四步：最后我们需要将WINPE光盘里面的userinit.exe文件，来替换掉已经被感染的Windows XP系统中的文件。首先浏览WINPE光盘目录中的system32文件夹，找到并点击userinit.exe文件后选择“复制到”命令，将默认路径X:\windows\system32输入对话框中(图4)。如果在系统目录下存在userinit.exe文件的话，会有如下提示，直接点击“是”按钮以避免之前可能没有清除干净的病毒文件。

输入默认路径X:\windows\system32

　　第五步：及时更新网页木马所利用的漏洞补丁。由于目前网页木马在网络中较为泛滥，已经成为病毒传播的主要途径之一，安装补丁可以避免用户在浏览一些网站时感染网页木马。

　　另外，关闭Windows系统的自动播放功能。由于现在很多病毒都通过移动设备传播这一方式，因此可以使用组策略的方式禁用自动播放的功能。这样可以杜绝病毒从闪存盘和移动硬盘等移动存储设备入侵电脑。

总结

　　新网银病毒采用的技术并不复杂，但造成的危害特别严重。所以，使用网银的朋友一定要加强警惕性，发现自己的机子突然无故反复重启，就表示你中毒了，要及时清除。

上一篇：格式化硬盘对电脑有影响吗？  
下一篇：断腿小狗坚强求生视频感动百万网友(图)